はじめに
この記事では下記を解決したい方向けにゼロトラストを解説しています。
どのような方向けの記事?
この記事を読むとどうなるか
境界防御とは
境界防御とは、
物理的に「ヒト・モノ」を社内に閉じ込めて外からの攻撃に対応する守り方
を指します。これだけだと全然わからないので、1つずつ解説していきます。まずビジネスにおけるヒトとモノは何が具体的に該当するのかですよね。
ビジネスにおけるヒト・モノは下記が該当します。
境界防御のポイントとしては、インターネットと社内ネットワークを分けて、守るものを社内ですべて管理する点になります。
社内は物理的にもそうですし、ネットワーク的にもインターネットとは別に分けて管理します。
この考え方ではインターネットを危険な外のネットワーク、社内ネットワークを安全な内のネットワークとみなして守りを固めます。
ネットワークの図で表すと下記のような形になります。NWとは、ネットワークを指します。
もう少し深くお話すると、モノを物理的に管理するのはわかるけど、ネットワーク的に管理ってなんだよと思う方のいると思いますので、下記図を用いて説明します。
ネットワークの世界では、ファイアーウォールやUTMと呼ばれるセキュリティ製品が存在します。
簡単に説明してしまえば、IT部門の管理人がこの通信は社内NWへ許可しようとか、インターネットから社内NWへアクセスしようとする通信は全て許可しないなどの許可出しを行ってくれる機器のことを指します。
これらのセキュリティ製品を用いることで外からの危険な通信は全て遮断することが可能になります。
これらの機器をくぐりぬけて社内ネットワークにある情報にアクセスする方法は下記2点になります。
大抵の会社はオフィス内にあり、入管にする管理は厳しい為、容易には侵入できないようになっています。境界防御では、社内のネットワークは安全とみなすため、社内のリソースには自由にアクセスが可能になります。
こうすることで、利便性を担保しつつもセキュリティを保つことが境界防御でできていました。
外から社内リソースへアクセスしたい場合でもVPNと呼ばれる技術を用いて一時的に自分のPCと社内ネットワークを安全な通信路を作り、セキュリティを保つことができました。
セキュリティにおける境界防御も進撃の巨人と共通する部分が多くあり、安全な部分と危険な部分を明確に分けて、境界(出入口)を重点的に守ることで外からの脅威に対処する考え方になります。
ゼロトラストが求められる背景:境界防御からゼロトラストへ
いきなり「ゼロトラストとは。。。」とお話しても、背景を知っているのと知らないのでは理解するスピードが異なると思いますので、少しお話させてください。
業務アプリケーションのクラウドシフト
ゼロトラストの考えが広がる以前では、自分の会社でサーバーや業務で使用するアプリを運用するケースが普通でした。しかし、昨今のDXやビジネスの加速による影響から、運用コストの見直しなどでデータセンターへ移設するケースが増えています。
データーセンターへ移設することで運用の手間を省きたいのですね!
境界防御の前提であった自社内でPCを守ることが1つここで崩壊します。(涙)
多様な働き方への対応
コロナウイルスの流行でリモートワークの普及が加速しました。
これによって、先ほど説明したVPNを用いて社内ネットワークにアクセスする方法ではユーザーのアクセスに対して機器の処理が追い付かずに通信速度の低下などを招き、ユーザーの作業効率が落ちる現象が発生しました。
さらにクラウドサービスの普及に伴い、会社の重要なデータもクラウド上で管理するケースが増えてきました。皆さんもエクセルだったりパワーポイント、そのほかカレンダーアプリなど多種多様なサービスを業務で使用していると思います。
そのようなサービスに対して、VPN経由で通信しようとするとユーザービリティが低下しますよね。
サイバー攻撃の高度化
これはニュースなどで皆さんもなんとなく馴染みがあるのではないかと思います。
社員に関係者からの偽装メールを装いURLをクリックさせ、PCをウイルスに感染させるなど、日々、特定の企業を狙ったサイバー攻撃の手法は進化しています。
境界防御の弱点は一度、侵入を許すとその被害を食い止めることが難しい点です。不正な外部からの通信はファイヤーウォールなどで遮断可能ですが、メールに添付されたファイルなどはファイヤーウォールのみで対処することも難しくなりました。
昨今のサイバー攻撃の進化に対して、従来の守り方では対処できなくなってきているのです。
ゼロトラストとは
ここまで長々と境界防御の説明と、なぜこの守り方に限界が来たのかを説明してきました。ここまで理解しないとゼロトラストを理解するのは難しいからです。では早速ゼロトラストについて説明していきましょう!
え、セキュリティなのに何も信用しないとはどういうこと?とお思いのかたもいると思いますが、ゼロトラストとは、「すべてを疑ってかかる」セキュリティの考え方のことです。
これまでは安全な場所と危険な場所を分けて、境界を守ることを重視していました。
ただ、現在のビジネススタイルでは守るべき対象が社内にないケースが多いのです。
それは、PCのみならず、人もそうですし、アプリなんて目に見えない別なサーバー上で稼働しているので余計そうですよね。
ユーザーが社外に居て、外部のクラウドサービスも社内ネットワークにあるサーバーへアクセスする場合が容易に考えられるのです。
そのため、社内に居ようが、社外にいようがすべての通信は危険な通信としてみなし、通信が発生するたびに検証を行うのがゼロトラストになります。
ゼロトラストの基本原則、構成するための機能については別の記事にて書こうと思います!
今回は長くなってしまいましたが、さわりはここまでとします!
コメント